KubernetesでServiceAccountが作成されると、シークレットも作成されます。このシークレットにはServiceAccountTokenが含まれています。このトークンは、kubectlやその他のクラスターにアクセスする場所でも、CIパイプラインで使用できます。会社の開発者がこのトークンを自分でコピーし(誰も知らない)、会社を辞めた後も、Kubernetesクラスターにアクセスできると仮定します。彼のアクセスを制限したい。どうやってやるの?
サービスアカウントを使用して、kubectlまたはCI / CDシステムを使用してクラスターの外部からkubernetesクラスターと対話することは、セキュリティの観点から最善のアプローチではありません。むしろ、短命のJWTトークンの生成とローテーションが外部のOpenId / oAuth苦情承認システムに委任される認証プロキシを使用する必要があります。
サービスアカウントは、クラスター内で実行されているポッドからのみ使用する必要があり、RBACロールとRoleBindingによってサービスアカウントの承認を制限できます。現在、サービスアカウントトークンはkubernetesによってローテーションされないことに注意してください。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加